程夢瑤

作為國內(nèi)率先提出“動態(tài)防御，集中管控”理念的公司，北京明朝萬達(dá)科技股份有限公司（簡稱明朝萬達(dá)）從2005年公司成立之初，便開始自主研發(fā)Chinasec（安元）數(shù)據(jù)安全系列產(chǎn)品。經(jīng)過十余年更迭，以Chinasec（安元）安全集中管控與審計系統(tǒng)為代表的數(shù)據(jù)安全產(chǎn)品已廣泛應(yīng)用于金融、政府、公安、電信運營商、能源、設(shè)計院所和研發(fā)制造業(yè)等領(lǐng)域。

“數(shù)據(jù)安全，一定要融入業(yè)務(wù)，并成為業(yè)務(wù)生態(tài)信息化系統(tǒng)中不可分割的一部分?！痹缒觊g，明朝萬達(dá)董事長兼總裁王志海曾這樣表述產(chǎn)品與業(yè)務(wù)的融合之道。當(dāng)下，若從眾多行業(yè)應(yīng)用案例中，取金融一隅，便能更加清晰明了地洞察數(shù)據(jù)安全產(chǎn)品與業(yè)務(wù)之間如何相融了。

中小型商業(yè)銀行面臨的信息安全風(fēng)險

自上世紀(jì)80年代起步以來，我國商業(yè)銀行的信息化建設(shè)從引進學(xué)習(xí)到自主創(chuàng)新，從單機應(yīng)用到數(shù)據(jù)集中，從柜臺電算化到電子銀行，相較于政策性銀行，表現(xiàn)出較強的自主性和創(chuàng)新性。在相對缺少政策防護的前提下，尤其是中小型商業(yè)銀行面臨的信息安全風(fēng)險更加險峻。

“商業(yè)銀行相對來說，慢慢轉(zhuǎn)變得更像互聯(lián)網(wǎng)公司?！泵鞒f達(dá)高級副總裁兼首席技術(shù)官喻波說，“我們在分析銀行的業(yè)務(wù)場景時，會從里面找出那些安全風(fēng)險較高的場景，并針對不同的場景提出不同的防護措施。”

因此，明朝萬達(dá)提出了大數(shù)據(jù)環(huán)境下“場景+數(shù)據(jù)分析驅(qū)動安全”的信息安全建設(shè)思想，對網(wǎng)絡(luò)安全態(tài)勢感知的實現(xiàn)進行了多方面的論證，并對網(wǎng)絡(luò)安全態(tài)勢感知落地的實際情況進行詳細(xì)闡述，最后希望能夠在中小型商業(yè)銀行中推廣應(yīng)用。

目前，中小型商業(yè)銀行在信息安全風(fēng)險管理方面所面臨的共性問題包括：外部攻擊更加多樣化，外部的攻擊更為集中，現(xiàn)有的安全、審計措施難以適配大數(shù)據(jù)環(huán)境下的業(yè)務(wù)發(fā)展需求，風(fēng)險評估標(biāo)準(zhǔn)和指標(biāo)體系的缺失等。

以用戶行為數(shù)據(jù)為驅(qū)動

“金融數(shù)據(jù)流轉(zhuǎn)的業(yè)務(wù)場景是我們關(guān)注的一個高風(fēng)險場景，這是我們的目標(biāo)?！庇鞑ㄕ劦?，“比如，銀行的核心交易系統(tǒng)里面存儲了很多客戶敏感信息，當(dāng)需要把這些數(shù)據(jù)拿到辦公網(wǎng)絡(luò)中使用，或者拿到外圍的IT系統(tǒng)中運行的時候，這個場景就是我們比較關(guān)注的一個高風(fēng)險場景。我們會預(yù)定義一些規(guī)則，發(fā)現(xiàn)用戶的異常行為，并提出預(yù)警?！?/p>

Chinasec（安元）安全集中管控與審計系統(tǒng)更加關(guān)注用戶行為，以用戶視角為出發(fā)點，采集終端、主機、業(yè)務(wù)應(yīng)用等多種類型數(shù)據(jù)，進行企業(yè)內(nèi)部人員異常行為的探索發(fā)現(xiàn)和風(fēng)險人員的精準(zhǔn)定位，持續(xù)審計、跟蹤并進行風(fēng)險預(yù)警。同時，系統(tǒng)內(nèi)置了多種規(guī)則和策略模型，配合基線學(xué)習(xí)、機器學(xué)習(xí)等多種分析方法，檢測各種用戶異常行為，通過深鉆和關(guān)聯(lián)促進分析結(jié)果更加準(zhǔn)確，及時應(yīng)對各類用戶群體諸如越權(quán)訪問、無意數(shù)據(jù)泄漏、主動數(shù)據(jù)竊取等安全威脅。

“其實安全的本質(zhì)說到底是人和人較量的過程，在金融行業(yè)，我們并不是通過安全策略去限制所有人的行為，而是通過行為分析將危險的行為終止。這是我們貫徹這個理念的一個產(chǎn)品，用戶行為能夠反應(yīng)出一個人時時刻刻在做什么。而很多其他安全設(shè)備即便發(fā)現(xiàn)了網(wǎng)絡(luò)攻擊、惡意代碼等，也沒辦法追蹤到個人，最后往往不了了之。畢竟，安全事件最后還是要落實到人?！庇鞑ū硎荆胤街行⌒娃r(nóng)商銀行的信息安全風(fēng)險管理意識相對薄弱，當(dāng)銀行業(yè)務(wù)逐漸轉(zhuǎn)向互聯(lián)網(wǎng)時，內(nèi)部業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)之間的交互非常多。相較于過去，攻擊變得更加多樣，攻擊的目的也越來越明確，但很多地方中小型商業(yè)銀行還停留在傳統(tǒng)的安全防護階段，比如防火墻、IDS、IPS，能監(jiān)測到一定量的攻擊，但沒有辦法完整地去監(jiān)測用戶行為。

為成都農(nóng)商銀行提供安全防護

2018年9月，在由大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實驗室金融安全研究部舉辦的銀行業(yè)網(wǎng)絡(luò)安全優(yōu)秀方案預(yù)選會上，成都農(nóng)商銀行的“基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)方案”成功入圍首批優(yōu)秀方案，并成為全國銀行業(yè)網(wǎng)絡(luò)安全實踐中具有顯著技術(shù)創(chuàng)新性和應(yīng)用示范效果的優(yōu)秀方案。

在配合完成該方案的建設(shè)過程中，明朝萬達(dá)通過自主研發(fā)的Chinasec（安元）安全集中監(jiān)控與審計系統(tǒng)，為成都農(nóng)商行提供了全網(wǎng)可控的一體化管控平臺，可以感知接入設(shè)備運行情況，實時發(fā)現(xiàn)安全威脅和隱患以及時處置，智能化數(shù)據(jù)分析與預(yù)測，實現(xiàn)安全監(jiān)測和數(shù)據(jù)集中審計，并通過可視化大屏進行展示和操作，突出了動態(tài)數(shù)據(jù)管理的核心價值。

值得一提的是，在成都農(nóng)商銀行的整體方案建設(shè)中，融入了人工智能技術(shù)，即將機器學(xué)習(xí)應(yīng)用到態(tài)勢感知中，通過聚類、分類、提取特征值、模型訓(xùn)練和模型優(yōu)化等步驟，實現(xiàn)了對未知威脅的主動識別，利用機器學(xué)習(xí)技術(shù)構(gòu)建可信、可管、可控的安全平臺，對海量的數(shù)據(jù)進行自動分析與深度挖掘，及時響應(yīng)、快速聯(lián)動，全面實現(xiàn)對數(shù)據(jù)全生命周期的管控，提升整體的安全防護能力。

其中，在數(shù)據(jù)采集方面，除了網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)采集之外，“這套方案的核心優(yōu)勢是能夠近距離地收集用戶的行為，也就是說，用戶操作電腦的行為是我們收集的對象，這是一個很有特色的地方?！庇鞑ㄕ劦?。與此同時，與傳統(tǒng)預(yù)警類產(chǎn)品不同的是，Chinasec（安元）安全集中監(jiān)控與審計系統(tǒng)是按照事件驅(qū)動策略創(chuàng)建模型的，“傳統(tǒng)預(yù)警不能跟別的設(shè)備聯(lián)動，大多在事后做審計，我們這個系統(tǒng)可以和其他系統(tǒng)產(chǎn)生聯(lián)動，也就是說，可以在事中就能控制住風(fēng)險的擴散。”

總體來看，這套方案通過高效、準(zhǔn)確的機器學(xué)習(xí)和數(shù)據(jù)挖掘模型，將外部威脅數(shù)據(jù)與行內(nèi)態(tài)勢數(shù)據(jù)相結(jié)合，并實現(xiàn)了業(yè)務(wù)系統(tǒng)安全態(tài)勢的動態(tài)可視化管理，覆蓋多種業(yè)務(wù)安全場景，從多維度對業(yè)務(wù)系統(tǒng)進行畫像。該方案的成功落地，實現(xiàn)了金融行業(yè)從數(shù)據(jù)安全到數(shù)據(jù)治理的提升。

最佳實踐：成都農(nóng)商銀行大數(shù)據(jù)日志分析與態(tài)勢感知項目行業(yè)背景

隨著信息技術(shù)的不斷發(fā)展，中小商業(yè)銀行的信息安全建設(shè)取得了巨大進步，業(yè)務(wù)和日常運營對信息安全的要求越來越高，信息安全已經(jīng)貫穿于銀行的所有產(chǎn)品、流程和經(jīng)營活動中，已成為銀行核心競爭力的重要組成，為銀行穩(wěn)健運營和創(chuàng)新持續(xù)發(fā)展提供了有力支撐。

然而，近年來，商業(yè)銀行的信息安全風(fēng)險事件時有發(fā)生，信息技術(shù)在推動中小商業(yè)銀行業(yè)務(wù)創(chuàng)新和轉(zhuǎn)型變革的同時，也給銀行帶來了極大的風(fēng)險，已經(jīng)成為影響銀行穩(wěn)健運營的重要風(fēng)險因素。

當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域，正在面臨多種挑戰(zhàn)。

第一，外部攻擊更加多樣化。隨著外部攻擊的多樣化以及自身安全體系的發(fā)展，銀行安全架構(gòu)日趨復(fù)雜，各種類型的安全設(shè)備、安全數(shù)據(jù)越來越多，隨著數(shù)據(jù)的爆炸，傳統(tǒng)的分析能力明顯力不從心。

同時，以APT等為代表的新型威脅的興起，內(nèi)控與合規(guī)的深入，越來越需要儲存與分析更多的安全信息，并且以更加快速的做出判定和響應(yīng)。

第二，外部的惡意攻擊更為集中。數(shù)據(jù)正慢慢成為業(yè)務(wù)發(fā)展核心動力，也成為黑客的主要目標(biāo)。數(shù)據(jù)泄露等同于經(jīng)濟損失。而銀行、金融數(shù)據(jù)成為更引人注意的“大目標(biāo)”，對黑客而言，集中攻擊金融業(yè)務(wù)或平臺，可以降低攻擊成本，提升攻擊收益。

第三，現(xiàn)有的安全、審計措施難以適配。傳統(tǒng)的訪問控制多依賴于角色，而現(xiàn)在越來越多的業(yè)務(wù)基于大數(shù)據(jù)開展，難以準(zhǔn)確實現(xiàn)角色劃分，并為角色授予恰當(dāng)?shù)臋?quán)限，面對大數(shù)據(jù)量時細(xì)粒度的數(shù)據(jù)審計能力不足。

第四，風(fēng)險評估標(biāo)準(zhǔn)和指標(biāo)體系的缺失。數(shù)據(jù)業(yè)務(wù)的大數(shù)據(jù)建設(shè)不能簡單套用傳統(tǒng)的安全風(fēng)險評估模型，也不能缺乏系統(tǒng)性的評估指標(biāo)體系和工具集合。

核心功能

網(wǎng)絡(luò)安全態(tài)勢感知就是利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡(luò)環(huán)境的實時安全狀況，為網(wǎng)絡(luò)安全提供保障。

借助網(wǎng)絡(luò)安全態(tài)勢感知，網(wǎng)絡(luò)監(jiān)管人員可以及時了解網(wǎng)絡(luò)的狀態(tài)、受攻擊情況、攻擊來源，以及哪些服務(wù)易受到攻擊等情況，并對發(fā)起攻擊的網(wǎng)絡(luò)采取措施，讓網(wǎng)絡(luò)用戶可以清楚地掌握所在網(wǎng)絡(luò)的安全狀態(tài)和趨勢，做好相應(yīng)的防范準(zhǔn)備，避免和減少網(wǎng)絡(luò)中病毒和惡意攻擊帶來的損失;維護、決策團隊也可以從網(wǎng)絡(luò)安全態(tài)勢中了解所服務(wù)網(wǎng)絡(luò)的安全狀況和發(fā)展趨勢，為制定有預(yù)見性的應(yīng)急預(yù)案提供基礎(chǔ)。最終實現(xiàn)從被動防御到主動防御，從被動運維到主動運維。

在實施和不斷完善、優(yōu)化的過程中，取得了良好的成果，具體如下。

1.基于內(nèi)存的算法和模型，提高處理的速度和規(guī)模，最大數(shù)據(jù)處理量在10萬EPS，最低數(shù)據(jù)分析延遲小于1秒鐘。

2.利用規(guī)則引擎，制定了700多種規(guī)則策略，包括了：拒絕服務(wù)惡意腳本、SQL注入攻擊、特殊字符URL訪問、可疑HTTP請求訪問、Bash Shell Shock漏洞、Nginx文件解析漏洞、文件包含漏洞、LDAP漏洞、Struts2遠(yuǎn)程代碼執(zhí)行漏洞、遠(yuǎn)程代碼執(zhí)行漏洞、Xpath注入、跨站腳本攻擊、IIS服務(wù)器攻擊、CSRF漏洞攻擊探測、可疑文件訪問、SQL盲注攻擊探測、敏感文件探測、異常HTTP請求探測、敏感目錄訪問等。

3.實現(xiàn)了幾十種不同的安全分析場景，包括：DDos攻擊、APT攻擊、漏洞成功利用攻擊、潛伏型應(yīng)用攻擊、暴力破解、CC攻擊、掃描行為攻擊等。

方案價值

方案在研究、實施過程中，對整體的數(shù)據(jù)架構(gòu)、數(shù)據(jù)采集、數(shù)據(jù)分析、態(tài)勢展現(xiàn)進行了研究。

在數(shù)據(jù)架構(gòu)階段，支持資源的橫向和縱向擴展、支持源數(shù)據(jù)的擴展，保證未來業(yè)務(wù)系統(tǒng)、應(yīng)用的接入，為實現(xiàn)全面日志的接入打好基礎(chǔ);在數(shù)據(jù)采集階段，對數(shù)據(jù)質(zhì)量進行了整改，對數(shù)據(jù)接口進行了定義，保障日志源的快速擴展;在數(shù)據(jù)分析階段，根據(jù)不同的場景，采用不同的算法以及模型，保證對未知威脅的分析和已知威脅的監(jiān)控;在態(tài)勢展現(xiàn)階段，對各類功能點以及相應(yīng)時間進行了定義，保障實時、全面、動態(tài)地反映行內(nèi)態(tài)勢。同時，“場景+數(shù)據(jù)分析驅(qū)動安全”理論在安全大數(shù)據(jù)的成功落地，也具有重大的意義。

在理論價值方面，具體如下。

1.當(dāng)前中小商業(yè)銀行網(wǎng)絡(luò)安全主要是通過設(shè)備的堆疊，無法應(yīng)對未知威脅，本方案提出的大數(shù)據(jù)安全態(tài)勢感知，是當(dāng)前大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全建設(shè)新方向、新思路。

2.本方案提出的“場景+數(shù)據(jù)分析驅(qū)動安全”的網(wǎng)絡(luò)安全建設(shè)理論為中小銀行的信息安全建設(shè)提供了理論基礎(chǔ)，為網(wǎng)絡(luò)安全建設(shè)實施落地提供了理論依據(jù);

在實際價值方面，具體如下。

1.運用本方案提出的大數(shù)據(jù)態(tài)勢感知，可以實時、直觀的看到當(dāng)前網(wǎng)絡(luò)環(huán)境的整體情況，及時發(fā)現(xiàn)未知威脅以及隱藏威脅。

2.通過關(guān)聯(lián)分析與規(guī)則模型、數(shù)據(jù)挖掘、機器學(xué)習(xí)，各類安全場景可以進行擴展，既能完全覆蓋傳統(tǒng)場景，又能將傳統(tǒng)場景與未知場景進行結(jié)合，實現(xiàn)全方位的安全監(jiān)控。

3.通過溯源分析，繪制攻擊鏈，直觀地描述各個節(jié)點與攻擊者的關(guān)系，提高安全決策的科學(xué)性。

4.通過獲取外部態(tài)勢數(shù)據(jù)，與內(nèi)部數(shù)據(jù)結(jié)合，對外增加防御的廣度，對內(nèi)增加防御的深度;同時通過不斷的信息交流，促成信息安全生態(tài)圈。

5.基于研究成果搭建大數(shù)據(jù)安全態(tài)勢感知平臺，可以及時進行針對性的監(jiān)管，防范區(qū)域性風(fēng)險。